Cài Đặt FreeIPA Trên CentOS 7 Hỗ Trợ Quản Lý

freeipa client

Free IPA là viết tắt của Free Identity Policy Audit, là giải pháp để quản lý user, group, host, service… Đây là giải pháp mã nguồn mở được xây dựng trên ngôn ngữ Python. Với Free IPA, thao tác quản trị trên hệ điều hành Linux sẽ trở nên dễ dàng hơn với các admin.

Bên trong gói IPA là các thành phần : Apache Web Server, BIND, 389DS, và MIT Kerberos.Ngoài ra, Dogtag được sử dụng để quản lý các certificate, và sssd cho việc cấu hình các máy client.

Cài đặt :

Cài đặt IPA trên hệ thống Linux tương đối đơn giản. Một số yêu cầu để cài đặt phần mềm là :

  • Hệ thống CentOS 7 đã được cập nhật đầy đủ.
  • File etc/host khớp với ip server và hostname.
echo 192.168.122.200 ipa7.example.com ipa7 >> /etc/hosts

echo ipa7.example.com > /etc/hostname

Chúng ta sẽ bắt đầu cài đặt Free IPA. Hệ điều hành sử dụng nên là RHEL/CentOS >= 6.x hoặc Fedora >= 14. Cài bằng lệnh Yum :

(rhel/centos) # yum install ipa-server

(fedora)      # yum install freeipa-server

Bởi vì FreeIPA có thể quản lý DNS server, vì thế chúng ta cần ra quyết định có để cho phần mềm quản lý không. Ở đây người viết cho FreeIPA quản lý DNS nội bộ, sử dụng LDAP thông qua 389DS để lưu trữ các bản ghi.

yum install bind-dyndb-ldap
ipa-server-install --setup-dns
The log file for this installation can be found in /var/log/ipaserver-install.log

==============================================================================

This program will set up the IPA Server.




This includes:

 * Configure a stand-alone CA (dogtag) for certificate management

 * Configure the Network Time Daemon (ntpd)

 * Create and configure an instance of Directory Server

 * Create and configure a Kerberos Key Distribution Center (KDC)

 * Configure Apache (httpd)

 * Configure DNS (bind)




To accept the default shown in brackets, press the Enter key.




WARNING: conflicting time&date synchronization service 'chronyd' will be disabled

in favor of ntpd




Existing BIND configuration detected, overwrite? [no]: yes

Tiếp theo : xác định hostname của server, và domain name ( DNS ).

Enter the fully qualified domain name of the computer

on which you're setting up server software. Using the form

<hostname>.<domainname>

Example: master.example.com.







Server host name [ipa7.example.com]: ipa7.example.com




Warning: skipping DNS resolution of host ipa7.example.com

The domain name has been determined based on the host name.




Please confirm the domain name [example.com]: example.com

Tiếp theo là thiết lập Keberos realm, là một trong những thành phần quan trọng nhất của FreeIPA. Nó giúp cho việc đăng ký hệ thống máy client trở nên đơn giản. Keberos realm luôn ở dạng chữ hoa, bình thường, nó được đặt theo tên domain.

The kerberos protocol requires a Realm name to be defined.

This is typically the domain name converted to uppercase.




Please provide a realm name [EXAMPLE.COM]: EXAMPLE.COM

Bước tiếp theo là cấu hình password cho Directory Manager (cho ldap administration) và IPA admin user.

Certain directory server operations require an administrative user.

This user is referred to as the Directory Manager and has full access

to the Directory for system management tasks and will be added to the

instance of directory server created for IPA.

The password must be at least 8 characters long.




Directory Manager password: manager72

Password (confirm): manager72




The IPA server requires an administrative user, named 'admin'.

This user is a regular system account used for IPA server administration.




IPA admin password: ipaadmin72

Password (confirm): ipaadmin72

Chương trình cài đặt sẽ hỏi thêm về thông tin DNS :

Do you want to configure DNS forwarders? [yes]: yes

Enter the IP address of DNS forwarder to use, or press Enter to finish.

Enter IP address for a DNS forwarder: 8.8.8.8

DNS forwarder 8.8.8.8 added

Enter IP address for a DNS forwarder: 8.8.4.4

DNS forwarder 8.8.4.4 added

Enter IP address for a DNS forwarder: <enter>

Do you want to configure the reverse zone? [yes]: yes

Please specify the reverse zone name [122.168.192.in-addr.arpa.]: 122.168.192.in-addr.arpa

Using reverse zone 122.168.192.in-addr.arpa.

Như vậy là chúng ta đã hoàn thành xong. Kết quả xuất ra là toàn bộ giá trị mà người dùng đã nhập vào. Hãy chắc chắn rằng đọc chúng thật cẩn thận.

The IPA Master Server will be configured with:

Hostname: ipa7.example.com

IP address: 192.168.122.200

Domain name: example.com

Realm name: EXAMPLE.COM




BIND DNS server will be configured to serve IPA domain with:

Forwarders: 8.8.8.8, 8.8.4.4

Reverse zone: 122.168.192.in-addr.arpa.

Qúa trình cài đặt sẽ diễn ra, thường sẽ mất khoảng từ 10-30 phút.

Continue to configure the system with these values? [no]: yes




The following operations may take some minutes to complete.

Please wait until the prompt is returned.




Configuring NTP daemon (ntpd)

 [1/4]: stopping ntpd

 [2/4]: writing configuration

 [3/4]: configuring ntpd to start on boot

 [4/4]: starting ntpd

.......

Khi hoàn thành, chương trình cài đặt sẽ thông báo các thông tin về port mà người dùng cần mở :

Setup complete




Next steps:
  1. You must make sure these network ports are open:
        TCP Ports:

          * 80, 443: HTTP/HTTPS

          * 389, 636: LDAP/LDAPS

          * 88, 464: kerberos

          * 53: bind

        UDP Ports:

          * 88, 464: kerberos

          * 53: bind

          * 123: ntp


  1. You can now obtain a kerberos ticket using the command: 'kinit admin'
       This ticket will allow you to use the IPA tools (e.g., ipa user-add)

       and the web user interface.




Be sure to back up the CA certificate stored in /root/cacert.p12

This file is required to create replicas. The password for this

file is the Directory Manager password

Cấu hình Firewall :

firewall-cmd --permanent --add-service=ntp




firewall-cmd --permanent --add-service=http




firewall-cmd --permanent --add-service=https




firewall-cmd --permanent --add-service=ldap




firewall-cmd --permanent --add-service=ldaps




firewall-cmd --permanent --add-service=kerberos




firewall-cmd --permanent --add-service=kpasswd

Dùng lệnh authconfig để đảm bảo home directory đã được tạo. Tiếp theo là reboot lại máy

authconfig --enablemkhomedir --update

chkconfig sssd on

Note: Forwarding request to 'systemctl enable sssd.service'.

init 6

Để login vào FreeIPA, có thể thực hiện bằng 2 cách; từ trình duyệt, hoặc thông qua Keberos. Ví dụ, ở đây chúng ta login vào bằng trình duyệt.

freeipa certificate management Cài Đặt FreeIPA Trên CentOS 7 Hỗ Trợ Quản Lý

Sau khi Login, chúng ta cần thay đổi default shell trong tất cả user trong /bin/bash. Thực hiện việc này tại mục IPA Server ->Configuration. Một khi đã điều chỉnh, bấm update.

freeipa configuration Cài Đặt FreeIPA Trên CentOS 7 Hỗ Trợ Quản Lý

Tiến hành add user. Chọn Identity tab, sau đó bấm add.

freeipa centos 7 Cài Đặt FreeIPA Trên CentOS 7 Hỗ Trợ Quản Lý

Bấm add và edit dữ liệu user. Chúng ta có thể add một key ssh.

freeipa centos install Cài Đặt FreeIPA Trên CentOS 7 Hỗ Trợ Quản Lý

Đừng quên bấm update sau khi cài đặt cho key.

Như vậy là FreeIPA sẽ cho phép ssh đi vào server với tư cách là một user mới. Để làm điều này chúng ta hãy cấu hình FreeIPA như là một resolver ( máy chủ phân giải ). Cách đơn giản nhất là cập nhật tệp /etc/resolv.conf.

cat /etc/resolv.conf
search egavas.org

nameserver 192.168.122.200

......
host ipa7.example.com
ipa7.example.com has address 192.168.122.200

Khi server FreeIPA đã có thể phân giải, SSH đã có thể làm việc

[[email protected] ~]$ ssh ipa7.example.com

The authenticity of host 'ipa7.example.com (192.168.122.200)' can't be established.

ECDSA key fingerprint is 42:96:09:a7:1b:ac:df:dd:1c:de:73:2b:86:51:19:b1.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added 'ipa7.example.com' (ECDSA) to the list of known hosts.

Creating home directory for herlo.

Last login: Thu Jan 8 02:27:44 2014 from 112.133.198.126

[[email protected] ~]$ id

uid=151600001(herlo) gid=151600001(herlo) groups=151600001(herlo) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c102

Như vậy là server FreeIPA đã được cấu hình.

Xem thêm : Hướng Dẫn Cài Hệ Thống ERP Mã Nguồn Mở Odoo

  • freeipa client
  • freeipa centos
  • freeipa certificate management
  • freeipa configuration
  • freeipa centos 7
  • freeipa centos install
  • freeipa centos 7 client
  • freeipa centos 7 installation
  • freeipa centos 7 setup

BÌNH LUẬN

Please enter your comment!
Please enter your name here